引言
LiDAR(激光雷达)是自动驾驶系统中最重要的感知传感器之一,其提供的精确三维空间信息对车辆检测、行人识别和障碍物规避起着关键作用。然而,随着深度学习在LiDAR感知中的广泛采用,针对LiDAR 3D检测器的对抗攻击研究也日益受到关注。
本次组会汇报了三篇发表于顶会的最新论文,分别从三个不同维度揭示了LiDAR感知系统面临的物理对抗威胁:
- AAAI 2025 — 利用水雾/烟雾等随机物体作为攻击载体,使车辆从LiDAR 3D检测结果中消失
- CVPR 2026 — SABER通过在场景中放置3D通用对抗物体,实现非接触式、多视角一致的BEV空间攻击
- NDSS 2025 — MVS系统在60km/h高速和110m远距离下实现LiDAR欺骗攻击,验证了传感器攻击在真实自动驾驶软件栈中的端到端影响
这三项工作共同勾勒了LiDAR对抗攻击从数字域走向真实物理世界、从侵入式走向非侵入式、从静态走向高速动态的演进路径。
Paper 1: A New Adversarial Perspective for LiDAR-Based 3D Object Detection
| *会议:AAAI 2025 | 作者:Shijun Zheng, Weiquan Liu, Yu Guo, Yu Zang, Siqi Shen, Cheng Wang* |
图 1: 随机物体(水雾/烟雾)作为LiDAR 3D检测对抗攻击载体的动机示意图。传统攻击依赖数字扰动或固定几何物体,而水雾/烟雾具有自然来源、形态随机和可变形等特点。
图 2: 攻击总体流程——利用PCS-GAN生成随机物体点云序列,通过Range Image Renderer模拟LiDAR扫描,最终在不同融合模式下搜索最优攻击配置。
解决什么问题
现有LiDAR 3D对抗攻击多集中在数字域点云扰动、传感器级激光欺骗或固定几何形状的对抗物体,真实环境中随机物体(水雾/烟雾)的攻击性尚未被充分讨论。相比之下,水雾和烟雾在真实道路环境中具有自然来源、形态随机和可变形等特点,因此可以被视为一种更贴近真实场景的非侵入式干扰形式。
攻击方法
攻击流程分为三个主要阶段:
1. 随机物体生成 — PCS-GAN
水雾和烟雾具有随机性、形变性和时间变化特征,难以用固定几何模型描述。论文提出PCS-GAN(Point Cloud Sequence GAN),将随机物体点云分解为内容特征和运动特征,使生成结果能够同时保留随机物体的空间分布与时序变化。
- 输入端同时考虑随机噪声与序列变化信息
- 生成结果是连续点云序列,而不是单帧静态点云
- 双判别器分别约束单帧真实性与序列真实性
2. 扫描模拟 — Range Image Renderer
Range Image Renderer将随机物体与目标车辆点云融合,近似LiDAR扫描过程。核心步骤包括:
- 将融合后的场景点云投影到Range Image平面
- 利用Range Image的像素级深度信息判断遮挡关系和扫描线分布
- 从Range Image反投影生成被LiDAR实际感知到的点云
这一过程确保生成的扰动点云在LiDAR扫描中表现得像自然存在的环境物体。
3. 融合模式与攻击参数搜索
论文定义了三种融合模式(fusion mode, m),控制扰动放置区域:
- m=1(surface):随机物体直接附着在目标车辆表面,模拟雾体包裹车辆的效果
- m=2(surrounding):随机物体分布在目标车辆周围空间,不直接接触车辆表面
- m=3(front):随机物体集中在目标车辆前方区域,干扰前方关键视野
攻击者在不同融合模式和密度参数下搜索更强的攻击配置,寻找使检测器失效的最优参数组合。
实验与结果
实验在KITTI和Waymo数据集上进行,攻击对象包括PointPillars、SECOND和VoxelNet等主流检测器。
关键结果:
- 在多种融合模式下,随机物体扰动能够稳定地使目标车辆从检测结果中消失
- 攻击具有跨模型迁移性——对一个检测器生成的攻击可以有效作用于其他检测器
- ROLiD数据集使用32线LiDAR在真实场景中采集水雾与烟雾数据,考虑了方向、距离和水压等物理变量
攻击成功的关键在于破坏了车辆表面点云的结构完整性和扫描线规律性,进而影响BEV特征和检测框输出。
攻击成立的必要条件
- 随机物体点云在空间上覆盖目标车辆表面关键区域
- 点云密度足够干扰BEV特征提取
- 物理合理性——攻击点云在LiDAR扫描中表现得像自然存在的环境物体(水雾/烟雾)
- LiDAR 3D检测器通过”扫描点云 → BEV表征 → 3D box输出”的链路存在对点云完整性的依赖
Paper 2: SABER — Spatially Consistent 3D Universal Adversarial Objects for BEV Detectors
| *会议:CVPR 2026 | 作者:Aixuan Li, Mochu Xiang, Bosen Hou, Zhexiong Wan, Jing Zhang, Yuchao Dai* |
图 3: SABER将3D对抗mesh插入多视角场景,通过可微分渲染和BEV特征级优化,实现非接触式、空间一致的BEV攻击。
解决什么问题
现有BEV 3D检测攻击多是侵入式攻击,需要把贴纸、补丁或伪装纹理贴到目标车辆上,这类攻击要求攻击者接触目标,真实场景中的可扩展性较弱。非侵入式环境物体攻击虽然更现实,但往往缺乏多视角一致性和时间一致性。
方法框架
SABER提出非接触式攻击新范式:攻击者不需要修改目标车辆,而是在环境中放置一个通用恶意3D mesh,通过场景上下文干扰影响其他车辆的检测结果。
1. 3D mesh放置与多视角投影
- 位置选择:根据目标车辆3D box自动选择mesh的放置区域,保证它位于目标附近但不接触、不穿入车辆
- 多视角投影:利用相机内外参和可微分3D renderer,将同一个mesh投影到不同相机视角,保证透视、尺度和位置一致
- 遮挡感知融合:通过Realistic Occlusion Processing Module判断mesh与车辆、背景等物体的深度关系,只保留真实可见部分,避免出现”不该可见的物体仍然可见”等不合理现象
2. BEV特征级优化
优化阶段不只关注最终检测框,而是直接面向BEV空间表征进行攻击,包括三个损失项:
- 目标抑制损失:降低目标车辆区域的置信度
- 定位损失:诱导预测框偏移
- 场景混淆损失:扩大对抗图像与原始图像的BEV特征差异,使模型对整体场景产生错误理解
3. 通用性设计
优化过程中同时考虑多位置、多角度、多光照条件,使攻击能够在不同视角、不同距离和连续帧中保持效果。
实验与结果
论文在nuScenes数据集上评估攻击效果,受害模型包括BEVDet、BEVDet4D和BEVFormer。
实验设置:
- mesh初始化为圆柱体,半径0.3,高度2.0
- 固定放置策略:放置在目标车辆右后下角附近0.1m处
- Nadv表示加入对抗物体后仍成功检测到的车辆数量,Ninit表示初始物体情况下的检测数量
关键结果:
- 优化后的adversarial mesh会显著降低NDS和mAP
- 攻击效果在BEVDet、BEVDet4D、BEVFormer上均存在(跨模型迁移)
- Realistic Occlusion会降低一部分攻击强度,但使实验更符合真实物理遮挡
可视化结果:
- 多相机视角下,目标车辆附近的对抗mesh使模型检测框出现减少、偏移或混乱
- BEV空间中,目标区域附近的预测框与真实框对应关系被破坏
- 非侵入式环境物体改变了BEV检测器对场景的整体理解
物理实验
物理实验验证了SABER不只是数字域中的渲染攻击,而是能够迁移到真实环境中的非侵入式对抗物体。攻击者不需要修改目标车辆,而是在环境中放置一个可见的三维物体,即可对BEV检测器产生稳定干扰。
攻击成立的必要条件
- 对抗物体可物理放置:mesh必须位于目标附近但不穿模,不接触目标车辆
- 多视角3D一致:同一物体在不同相机视角中必须具有一致的透视、尺度和位置关系
- 遮挡关系真实:被车辆、行人或其他物体遮挡时,对抗mesh应只显示可见部分
- 时间一致性:连续帧中mesh的位置与场景关系需要稳定,否则攻击难以部署
- 攻击目标明确:优化需要同时降低目标车辆置信度、扰乱定位,并制造BEV特征层面的场景混淆
- 模型存在上下文脆弱性:BEV检测器必须会受到环境物体和共现关系影响
SABER的价值在于把攻击从”贴在目标上的扰动”推进到“环境物体诱发的场景级脆弱性”。
Paper 3: LiDAR Spoofing Attacks at High Speed and Long Distance
| *会议:NDSS 2025 | 作者:Takami Sato, Ryo Suzuki, Yuki Hayakawa, Kazuma Ikeda, Ozora Sako, Rokuto Nagata, Ryo Yoshida, Qi Alfred Chen, Kentaro Yoshioka* |
图 4: MVS系统架构——结合红外检测跟踪、自动瞄准系统和A-HFR攻击策略,在高速远距离下实现LiDAR欺骗。
解决什么问题
已有LiDAR spoofing攻击大多只在受控、低速或短距离场景中验证,尚未充分证明其能否在真实高速、远距离自动驾驶场景中产生端到端安全影响。
本文关注的问题不是”LiDAR是否能被欺骗”,而是进一步追问:在高速行驶、远距离发起、车辆由真实AD软件栈控制的情况下,LiDAR spoofing是否仍能造成实际安全影响。
MVS系统架构
论文提出Moving Vehicle Spoofing(MVS)系统,包含三个关键组件:
1. 红外检测与跟踪
远距离下普通可见光图像中的LiDAR外观非常小,直接检测不稳定。红外相机不依赖LiDAR外观,而是捕获LiDAR主动发出的红外激光轨迹,因此更适合长距离定位激光源。
- 采用YOLOv5(Np=3)结合卡尔曼滤波,提高连续帧中的稳定性
- 设计了DNN检测和最高强度像素两种定位方式
- 比较了卡尔曼滤波与基于历史帧输入的DNN跟踪
2. 自动瞄准与大覆盖欺骗器
远距离场景对角度误差极其敏感:在100m距离下,1°误差就可能带来约1.7m的瞄准偏差。
- 采用阵列式激光器并配备2英寸透镜,扩大攻击投影区域
- 使用垂直抛物面反射镜天线,使系统能够在远距离下更稳定地接收目标LiDAR的激光信号
- 自动瞄准系统主要实时调整水平方向角度
3. A-HFR自适应高频移除攻击
脉冲水印(Pulse Watermark)是新型固态LiDAR的核心防御机制:LiDAR给自己发出的激光脉冲加入独特的时间或波形特征,接收端只接受与合法发射脉冲匹配的回波。攻击者发射的恶意激光如果到达时间、脉冲间隔或波形特征不在容忍窗口内,会被识别为异常并丢弃。
论文提出的A-HFR(Adaptive High Frequency Removal)策略三个核心创新:
- 从同步攻击转向概率命中:不要求完全伪造每一个合法脉冲指纹,而是在目标扫描角度附近短时高频发射,提高恶意脉冲落入有效接收窗口的概率
- 从持续高频转向自适应高频:只在LiDAR即将扫描到目标物体时提高频率,避免激光二极管持续过热和功率下降
- 从近距离手动瞄准转向MVS系统闭环:通过红外检测、跟踪、自动瞄准和高功率阵列激光器,让攻击适应高速、远距离和动态车辆场景
高速远距离实验
实验在真实测试场进行,攻击车辆以60km/h速度接近目标车辆,攻击距离达110米。
目标移除攻击成功率:
| 场景 | 攻击成功率 |
|---|---|
| 静止目标(低速机械式LiDAR) | >85% |
| 60km/h动态(机械式LiDAR) | >70% |
| 60km/h动态(固态LiDAR + 脉冲水印) | >55% |
| 60km/h动态(A-HFR策略) | >65%(恢复至接近机械式水平) |
端到端攻击验证: 论文进一步将攻击部署到由Autoware.ai控制的真实自动驾驶车辆上,展示了:
- 目标注入攻击:制造虚假障碍物,导致车辆误刹车
- 目标移除攻击:使车辆未能正确检测前方SUV尺寸的障碍物,最终发生碰撞
这表明LiDAR spoofing的攻击效果不再只是传感器或算法层面的局部测试,而是能够穿透完整AD软件栈产生真实驾驶后果。
攻击成立的必要条件
MVS在高速远距离下成立需要同时满足以下条件:
- 远距离发现目标LiDAR:红外相机稳定捕获LiDAR主动发出的红外轨迹
- 连续跟踪与瞄准:受害车高速运动时,系统持续估计LiDAR位置并驱动伺服机构修正角度
- 足够的光学覆盖和功率:阵列激光器、透镜和天线保证远距离下仍能覆盖目标LiDAR接收窗口
- 扫描时序信息:目标移除攻击需要知道或估计LiDAR扫描到目标角度的时机
- 绕过新一代LiDAR防护:A-HFR在脉冲指纹容忍窗口内触发高频攻击,同时避免激光器过热
- 端到端传播:点云错误被感知模块采纳,并进一步影响规划/控制结果
三篇论文对比与讨论
| 维度 | AAAI 2025(随机物体) | CVPR 2026(SABER) | NDSS 2025(MVS) |
|---|---|---|---|
| 攻击类型 | 被动干扰(添加点云) | 被动干扰(添加3D物体) | 主动欺骗(激光注入) |
| 攻击目标 | LiDAR 3D检测器 | BEV多模态检测器 | LiDAR传感器→AD全栈 |
| 侵入性 | 非侵入式(环境干扰) | 非侵入式(环境物体) | 非接触式(远程注入) |
| 物理可行性 | 高(水雾/烟雾自然存在) | 中(需3D打印物体) | 高(专用硬件实现) |
| 攻击距离 | 近距(<30m) | 中距(<50m) | 远距(>100m) |
| 速度适应性 | 静态场景 | 静态场景 | 高速动态(60km/h) |
| 跨模型迁移 | 强 | 较强 | 与硬件/时序相关 |
| 防御难度 | 中等 | 中等 | 较高 |
| 端到端验证 | 检测器层面 | 检测器层面 | 完整AD软件栈 |
| 核心贡献 | 随机物体作为攻击载体 | 环境物体诱发的场景级脆弱性 | 高速远距离物理可行性 |
三篇论文沿着不同技术路线推动了LiDAR对抗攻击的发展:
- AAAI 2025利用自然存在的随机物体(水雾/烟雾),攻击隐蔽性最强,揭示了传统检测器对点云完整性的过度依赖
- CVPR 2026(SABER)首次实现了BEV空间中的通用对抗物体攻击,将攻击从”贴在目标上的扰动”推进到”环境物体诱发的场景级脆弱性”
- NDSS 2025(MVS)在攻击距离和速度维度上实现质的突破,验证了传感器攻击在完整自动驾驶系统中的端到端安全影响
总结与展望
本次组会汇报的三篇论文分别从随机物理干扰(AAAI 2025)、通用对抗物体(CVPR 2026)和主动欺骗注入(NDSS 2025)三个角度,系统探讨了自动驾驶LiDAR感知系统面临的物理对抗威胁。
关键启示
- LiDAR感知系统的安全边界不仅存在于数字域,更需要在物理世界中被重新审视。 三篇论文都实现了真实物理世界中的攻击验证。
- 不同的攻击方法各有所长:水雾攻击隐蔽性强,SABER非侵入式可部署,MVS影响范围大、距离远。
- 随着固态LiDAR和脉冲水印等新技术的普及,攻击与防御的对抗将持续演进。 NDSS 2025针对脉冲水印的A-HFR策略就是攻防博弈的典型案例。
- 传感器层攻击的评估需要端到端视角。 MVS工作展示了传感器欺骗能够穿透AD软件栈产生真实驾驶后果,这比单纯的点云级或检测器级评估更有说服力。
未来研究方向
- 多传感器融合防御:结合相机、毫米波雷达的信号进行交叉验证,减少对单一LiDAR的依赖
- LiDAR点云异常检测:识别物理不合理的点云分布模式(如不符合空气动力学的水雾分布)
- 对抗训练:在训练阶段加入物理对抗样本增强模型鲁棒性
- 场景级上下文验证:检测环境物体与场景语义的一致性(如道路上不应出现悬浮的对抗mesh)
- LiDAR硬件级防御:脉冲水印、随机扫描时序等硬件层面的防护机制
参考文献
- Zheng, S., Liu, W., Guo, Y., Zang, Y., Shen, S., & Wang, C. “A New Adversarial Perspective for LiDAR-Based 3D Object Detection.” AAAI 2025.
- Li, A., Xiang, M., Hou, B., Wan, Z., Zhang, J., & Dai, Y. “SABER: Spatially Consistent 3D Universal Adversarial Objects for BEV Detectors.” CVPR 2026.
- Sato, T., Suzuki, R., Hayakawa, Y., Ikeda, K., Sako, O., Nagata, R., Yoshida, R., Chen, Q. A., & Yoshioka, K. “On the Realism of LiDAR Spoofing Attacks against Autonomous Driving Vehicle at High Speed and Long Distance.” NDSS 2025.